أكمل قراصنة Android ومستشار الأمن المحترف Dan Rosenberg (قد تعرفه باسم djrbliss من Internets) دراسته الخاصة حول Carrier IQ ، ووجد بعض النتائج المثيرة للاهتمام. يبدو أن جميع هذه التقارير المتعلقة بتسجيل ضربات المفاتيح والتجسس على رسائل SMS قد تم إلقاء اللوم عليها على الطرف الخطأ ، حيث أظهر بحثه أن Carrier IQ كما هو مكتوب يمكنه فقط التقاط البيانات التي يرسلها الناقل إليها (المعروفة باسم المقاييس) ، وحتى بعد ذلك لا يزال يتعين عليك الرجوع إلى ملف تعريف (فكر في الأمر كصفحة إعدادات لأي تطبيق) والتي لدى مشغل شبكة الجوّال لديها CIQ كتابة خصيصًا لتثبيتها. في كلماته:
عزيزي الإنترنت ،
CarrierIQ يفعل الكثير من الأشياء السيئة. إنها مخاطرة محتملة لخصوصية المستخدم ، ويجب منح المستخدمين القدرة على إلغاء الاشتراك.
لكن يجب أن يدرك الناس أن هناك فرقًا كبيرًا بين تسجيل الأحداث مثل ضغطات المفاتيح وعناوين HTTPS إلى مخزن مؤقت للتصحيح (وهو أمر سيئ بحد ذاته) ، وجمع هذه البيانات وتخزينها ونقلها بالفعل إلى شركات النقل (وهذا لا يحدث). بعد الهندسة العكسية CarrierIQ بنفسي ، لم أر أي دليل على أنهم يقومون بجمع أي شيء أكثر مما ادعوا علانية: بيانات المقاييس مجهولة المصدر. هناك فرق كبير بين "الشكل ، إنه يفعل شيئًا عندما أقوم بالضغط على مفتاح" و "إنه يرسل كل ضغطات المفاتيح إلى مشغل شبكة الجوال!". بناءً على ما رأيته ، لا يوجد كود في CarrierIQ يسجل فعلًا ضغطات المفاتيح لأغراض جمع البيانات. بطبيعة الحال ، تشير حقيقة وجود روابط في هذه الأحداث إلى أن الإصدارات المستقبلية قد تتسبب في إساءة استخدام هذا النوع من الوظائف ، ويجب أن يكون CIQ مسؤولاً ويكون قيد التدقيق الدقيق حتى لا يحدث هذا النوع من انتهاك الخصوصية. ولكن كل الضوضاء الأخيرة على هذا لا أساس لها في الغالب.
هناك الكثير من الأسباب التي تجعلك تشعر بالانزعاج تجاه CIQ ، لكن من فضلك لا تقفز إلى الاستنتاجات بناءً على أدلة غير كاملة.
مع تحياتي،
دان روزنبرغ
فماذا عن كل الأشياء التي نراها على فيديو تريفور إيكهارت عن EVO في العمل؟ من الواضح أن هناك ، فما الأمر في كل ذلك؟ نحن لسنا باحثين في مجال الأمن أو محترفين أو غير ذلك ، لكننا مهووسون يقرؤون عن الاستغلال والأمن كل يوم. أفضل ما يمكن أن نكتشفه هو أن HTC كشفت تلك الأحداث في السجل أثناء إرسالها كبيانات مترية مجهولة المصدر إلى تطبيق Carrier IQ. لا يوجد حتى الآن أي دليل ، ولم يكن كذلك ، على إرسال أي من هذه البيانات إلى أي مكان.
إن أكبر شيء يجب استبعاده من هذا الخبر هو أنه بينما يكون معدل Carrier IQ مخيفًا ، والكثير منا يعتبرهم شريرًا ، إلا أنهم يقدمون خدمة فقط لجمع البيانات التي توفرها شركات تصنيع المعدات الأصلية وتصنيع المعدات الأصلية. يجب أن يكون هذا أكثر شفافية ، لأنه لن يزول أبدًا - إذا كنت لا ترغب في ذلك ، فلا تستخدم شبكتنا ، فلا أحد يمسك بندقيته على رأسك ومن المرجح أن يكون حامل الجوال في هذا الموضوع ، وفي وسيلة هم على حق. خيارنا في هذا الأمر هو عدم إنفاق أموالنا معهم ، والسماء تدرك أنني أفهم مدى عدم شعبية هذه الفكرة بشكل مباشر. لكن الأمور تبدو أكثر فأكثر مثل الناقلين والمصنعين بحاجة إلى مشاركة جزء كبير من اللوم هنا ، وهذه الفوضى بأكملها هي وسيلة سهلة لجمع البيانات التي تم جمعها بالفعل.
عندما ننتهي من هنا ، يمكننا أن نبدأ في النظر في كيفية قيام الشركات التي هرعت إلى الأمام وهم يهتفون "نحن لا نستخدم Carrier IQ على هواتفنا" بجمع البيانات نفسها مع شيء آخر بخلاف Carrier IQ ، لذلك يمكننا التأكد من أن التغييرات صنع في جميع المجالات مقابل صلب شركة صغيرة في وادي السيليكون.
المصدر: مرضي. باستبين
